Kolejna wersja nowelizacji Ustawy o Krajowym Systemie Cyberbezpieczeństwa

Dziś (20 sierpnia 2025r.) został opublikowany nowy – już siódmy – projekt nowelizacji UKSC, która ma wdrożyć dyrektywę NIS 2.

Nowy projekt uwzględnia uwagi, które zostały przyjęte w trakcie posiedzenia Stałego Komitetu Rady Ministrów z 31 lipca br.

Można zatem spodziewać się, że ostateczny projekt Ustawy o Krajowym Systemie Cyberbezpieczeństwa już niedługo trafi pod obrady Rady Ministrów i zostanie skierowany do prac w Sejmie.

Jesteśmy już po wstępnej analizie projektu UKSC. Do najciekawszych wg nas zmian należą:

• doprecyzowanie sposobu oceny kryterium wielkości przy kwalifikacji podmiotów ważnych;
• wskazanie, że każdy organ właściwy do spraw cyberbezpieczeństwa prowadzi „własny” wykaz podmiotów kluczowych i ważnych w zakresie nadzorowanego sektora – przy czym to Minister Cyfryzacji będzie odpowiedzialny za utrzymywanie systemu, w którym będą prowadzone te wykazy;
• określenie katalogu przypadków, w których nie będzie można przeprowadzić oceny bezpieczeństwa;
• uregulowanie zasad dotyczących doręczeń w systemie S46;
• wprowadzenie możliwości wniesienia skargi na decyzję dotyczącą wstrzymania zezwolenia/koncesji/itp. oraz zakazu pełnienia funkcji zarządczych – wcześniej możliwość wniesienia skargi była wprost wyłączona;
• doprecyzowanie definicji „podmiotu prowadzącego na terenie portu działalność wspomagającą transport morski” oraz „podmiotu świadczącego usługę ITS”.

Razem z nowym projektem Ustawy o Krajowym Systemie Cyberbezpieczeństwa (UKSC) opublikowano również projekt rozporządzenia w sprawie oceny bezpieczeństwa systemów informacyjnych wykorzystywanych przez podmioty KSC.

Rozporządzenie to określa m.in.:

• tryb przeprowadzania oceny bezpieczeństwa;
• szczegółowe informacje przekazywane do zespołów CSIRT przy uzgadnianiu sposobu przeprowadzenia oceny bezpieczeństwa;
• rodzaje przeprowadzanych testów bezpieczeństwa;
• sposób niszczenia materiałów zawierających informacje prawnie chronione.